翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Client VPN を使用する
次のトピックでは、クライアント VPN の使用で必要な主要な管理タスクについて説明します。
+ **セルフサービスポータルへのアクセス** — クライアント VPN エンドポイント設定ファイルをクライアント自身がダウンロードできるように、クライアント VPN セルフサービスポータルへのアクセスを設定します。セルフサービスポータルへのアクセスについては、「[セルフサービスポータルへの AWS Client VPN アクセス](cvpn-self-service-portal.md)」を参照してください。
+ **承認ルール** — 指定されたネットワークへのクライアントアクセスを制御するための承認ルールを追加します。承認ルールの追加については、「[AWS Client VPN 認可ルール](cvpn-working-rules.md)」を参照してください。
+ **クライアント証明書失効リスト** - クライアント証明書失効リストを使用して、クライアント VPN エンドポイントへのアクセスを取り消すことができます。クライアント証明書失効リストの生成の詳細については、「[AWS Client VPN クライアント証明書失効リスト](cvpn-working-certificates.md)」を参照してください。
+ **クライアント接続** — クライアント VPN エンドポイントへのクライアント接続を表示または終了します。クライアント接続の表示または終了については、「[AWS Client VPN クライアント接続](cvpn-working-connections.md)」を参照してください。
+ **クライアントログインバナー** — VPN セッションが確立されると、クライアント VPN デスクトップアプリケーションにテキストバナーを追加します。規制およびコンプライアンスのニーズを満たすために、テキストバナーを使用できます。ログインバナーの詳細については、「[AWS Client VPN クライアントログインバナー](cvpn-working-login-banner.md)」を参照してください。
+ **クライアントルート強制** — VPN を介して接続されたデバイスに対して、管理者によって定義されたルートを適用します。クライアントルート強制の詳細については、「[AWS Client VPN クライアントルートの適用](cvpn-working-cre.md)」を参照してください。
+ **クライアント VPN エンドポイント** - クライアント VPN エンドポイントによってすべての VPN セッションが管理、制御されるよう設定を行います。エンドポイントの設定については、「[AWS Client VPN エンドポイント](cvpn-working-endpoints.md)」を参照してください。
+ **接続ログ** - 新規または既存のクライアント VPN エンドポイントの接続ログを有効にして、接続ログのキャプチャを開始できます。接続ログの詳細については、「[AWS Client VPN 接続ログ](cvpn-working-with-connection-logs.md)」を参照してください。
+ **クライアント設定ファイルのエクスポート** — VPN 接続を確立するためにクライアント VPN クライアントが必要とするクライアント設定ファイルを設定します。ファイルを設定したら、クライアントに配布するためにダウンロード (エクスポート) します。クライアント設定ファイルのエクスポートについては、「[AWS Client VPN エンドポイント設定ファイルのエクスポート](cvpn-working-endpoint-export.md)」を参照してください。
+ **ルーティング** - 送信先ネットワークにどのクライアントがアクセスできるかを指定するため、各クライアント VPN ルートに対して承認ルールを設定します。承認の設定については、「[AWS Client VPN 認可ルール](cvpn-working-rules.md)」を参照してください。
+ **ターゲットネットワーク** — ターゲットネットワークをクライアント VPN エンドポイントに関連付けて、クライアントがそれに接続して VPN 接続を確立できるようにします。ターゲットネットワークの詳細については、「[AWS Client VPN ターゲットネットワーク](cvpn-working-target.md)」を参照してください。
+ **VPN セッションの最大継続時間** — セキュリティとコンプライアンス要件を満たすために、VPN セッションの最大継続時間のオプションを設定します。VPN セッションの最大継続時間の詳細については、「[AWS Client VPN VPN セッションの最大期間タイムアウト](cvpn-working-max-duration.md)」を参照してください。
# セルフサービスポータルへの AWS Client VPN アクセス
クライアント VPN エンドポイントのセルフサービスポータルを有効にした場合、セルフサービスポータルの URL をクライアントに提供できます。クライアントは、ウェブブラウザでポータルにアクセスし、ユーザーベースの認証情報を使用してログインできます。ポータルでは、クライアントはクライアント VPN エンドポイント設定ファイルをダウンロードし、AWS 提供のクライアントの最新バージョンをダウンロードすることができます。
以下のルールが適用されます。
+ セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。
+ セルフサービスポータルで利用できる設定ファイルは、Amazon VPC コンソールまたは を使用してエクスポートする設定ファイルと同じですAWS CLI クライアントへの配信前に設定ファイルをカスタマイズする必要がある場合は、カスタマイズしたファイルを自分自身でクライアントに配信する必要があります。
+ クライアント VPN エンドポイントのセルフサービスポータルオプションを有効にする必要があります。有効にしないと、クライアントはポータルにアクセスできません。このオプションが有効になっていない場合は、クライアント VPN エンドポイントを変更して有効にすることができます。
セルフサービスポータルオプションを有効にした後、次の URL のいずれかをクライアントに提供します。
+ `https://self-service.clientvpn.amazonaws.com/`
クライアントがこの URL を使用してポータルにアクセスする場合、クライアントは、ログインする前にクライアント VPN エンドポイントの ID を入力する必要があります。
+ `https://self-service.clientvpn.amazonaws.com/endpoints/`
上記の URLの ** をクライアント VPN エンドポイントの ID (たとえば、`cvpn-endpoint-0123456abcd123456`) に置き換えます。
セルフサービスポータルの URL は、[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) AWS CLI コマンドの出力にも表示できます。または、URL は Amazon VPC コンソールの **[Client VPN Endpoints]** (クライアント VPN エンドポイント) ページの **[Details]** (詳細) タブに表示されます。
フェデレーション認証で使用するためのセルフサービスポータルの設定の詳細については、「[セルフサービスポータルのサポート](federated-authentication.md#saml-self-service-support)」を参照してください。
# AWS Client VPN 認可ルール
承認ルールは、ネットワークへのアクセス許可を与えるファイアウォールルールとして機能します。承認ルールを追加することで、特定のクライアントに対し、特定のネットワークへのアクセス許可を与えます。アクセス許可の対象となるネットワークそれぞれに、承認ルールが必要となります。コンソールと AWS CLIを使用して、クライアント VPN エンドポイントに承認ルールを追加できます。
**注記**
クライアント VPN は、承認ルールを評価するときに、最長プレフィックスマッチングを使用します。詳細については、「*Amazon VPC ユーザーガイド*」の「トピック [トラブルシューティング AWS Client VPN: Active Directory グループの認可ルールが期待どおりに機能しない](ad-group-auth-rules.md) のトラブルシューティング」および「[ルート優先度](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)」を参照してください。
## 承認ルールを理解するための重要なポイント
次のポイントは、承認ルールの動作の一部を説明しています。
+ 送信先ネットワークへのアクセスを許可するには、許可ルールを明示的に追加する必要があります。デフォルトの動作では、アクセスは拒否されます。
+ 送信先ネットワークへのアクセスを*制限*する承認ルールを追加することはできません。
+ `0.0.0.0/0` CIDR は特殊なケースとして扱われます。これは承認ルールの作成順序に関係なく、最後に扱われます。
+ `0.0.0.0/0` CIDR は「任意の送信先」または「他の承認ルールで定義されていない任意の送信先」と考えることができます。
+ 最も長いプレフィックス一致が、優先されるルールです。
**Topics**
+ [重要ポイント](#key-points-summary)
+ [シナリオ例](#auth-rule-example-scenarios)
+ [承認ルールを追加する](cvpn-working-rule-authorize-add.md)
+ [承認ルールを削除する](cvpn-working-rule-remove.md)
+ [承認ルールの表示](cvpn-working-rule-view.md)
## クライアント VPN 承認ルールのシナリオ例
このセクションでは、認可ルールの仕組みについて説明します AWS Client VPN。承認ルールを理解するための重要なポイント、アーキテクチャの例、およびアーキテクチャの例に対応するシナリオ例の説明が含まれています。
**シナリオ**
+ [承認ルールシナリオのアーキテクチャの例](#example-arch-auth-rules)
+ [単一の送信先へのアクセス](#auth-rules1)
+ [任意の送信先 (0.0.0.0/0) CIDR を使用する](#auth-rules2)
+ [IP プレフィックスのより長い一致](#auth-rules3)
+ [重複する CIDR (同じグループ)](#auth-rules4)
+ [追加の 0.0.0.0/0 ルール](#auth-rules5)
+ [192.168.0.0/24 のルールを追加する](#auth-rules6)
+ [SAML フェデレーション認証](#auth-rules7)
+ [すべてのユーザーグループのアクセス](#auth-rules8)
### 承認ルールシナリオのアーキテクチャの例
次の図は、このセクションのシナリオ例に使用されているアーキテクチャの例を示しています。
![\[クライアント VPN アーキテクチャの例\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### 単一の送信先へのアクセス
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | s-xxxxx15 | 誤 | 10.0.0.0/16 |
| マネージャーグループにクライアント VPN VPC へのアクセスを提供する | s-xxxxx16 | 誤 | 192.168.0.0/24 |
**結果として生じる動作**
+ エンジニアリンググループは `172.16.0.0/24` にのみアクセスできます。
+ 開発グループは `10.0.0.0/16` にのみアクセスできます。
+ マネージャーグループは `192.168.0.0/24` にのみアクセスできます。
+ 他のすべてのトラフィックは、クライアント VPN エンドポイントによって削除されます。
**注記**
このシナリオでは、どのユーザーグループもパブリックインターネットにアクセスできません。
### 任意の送信先 (0.0.0.0/0) CIDR を使用する
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | s-xxxxx15 | 誤 | 10.0.0.0/16 |
| マネージャーグループに任意の送信先へのアクセスを提供する | s-xxxxx16 | 誤 | 0.0.0.0/0 |
**結果として生じる動作**
+ エンジニアリンググループは `172.16.0.0/24` にのみアクセスできます。
+ 開発グループは `10.0.0.0/16` にのみアクセスできます。
+ マネージャーグループはパブリックインターネット*および* `192.168.0.0/24` にアクセスできますが、`172.16.0.0/24` または `10.0.0/16` にはアクセスできません。
**注記**
このシナリオでは、どのルールも `192.168.0.0/24` を参照していないため、そのネットワークへのアクセスも `0.0.0.0/0` ルールによって提供されます。
`0.0.0.0/0` を含むルールは、ルールが作成された順序に関係なく、常に最後に評価されます。このため、`0.0.0.0/0` 以前に評価されたルールが、`0.0.0.0/0` によってアクセス権が付与されるネットワークを決定するうえで役割を果たすことを覚えておいてください。
### IP プレフィックスのより長い一致
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | s-xxxxx15 | 誤 | 10.0.0.0/16 |
| マネージャーグループに任意の送信先へのアクセスを提供する | s-xxxxx16 | 誤 | 0.0.0.0/0 |
| マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する | s-xxxxx16 | 誤 | 10.0.2.119/32 |
**結果として生じる動作**
+ エンジニアリンググループは `172.16.0.0/24` にのみアクセスできます。
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および開発 VPC 内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または開発 VPC 内のその他のホストにはアクセスできません。
**注記**
ここでは、長い IP プレフィックスを持つルールが、短い IP プレフィックスを持つルールよりも優先されることがわかります。開発グループに `10.0.2.119/32` へのアクセスを許可する場合は、開発チームに `10.0.2.119/32` へのアクセスを許可するルールを追加する必要があります。
### 重複する CIDR (同じグループ)
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | s-xxxxx15 | 誤 | 10.0.0.0/16 |
| マネージャーグループに任意の送信先へのアクセスを提供する | s-xxxxx16 | 誤 | 0.0.0.0/0 |
| マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する | s-xxxxx16 | 誤 | 10.0.2.119/32 |
| エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする | s-xxxxx14 | 誤 | 172.16.0.128/25 |
**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、より具体的なサブネット `172.16.0.128/25` を含めて、`172.16.0.0/24` にアクセスできます。
### 追加の 0.0.0.0/0 ルール
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | s-xxxxx15 | 誤 | 10.0.0.0/16 |
| マネージャーグループに任意の送信先へのアクセスを提供する | s-xxxxx16 | 誤 | 0.0.0.0/0 |
| マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する | s-xxxxx16 | 誤 | 10.0.2.119/32 |
| エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする | s-xxxxx14 | 誤 | 172.16.0.128/25 |
| エンジニアリンググループに任意の送信先へのアクセスを提供する | s-xxxxx14 | 誤 | 0.0.0.0/0 |
**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、より具体的なサブネット `172.16.0.128/25` を含めて、パブリックインターネット、`192.168.0.0/24`、および `172.16.0.0/24` にアクセスできます。
**注記**
エンジニアリンググループとマネージャーグループの両方が `192.168.0.0/24` にアクセスできるようになりました。これは、どちらのグループも `0.0.0.0/0` (任意の送信先) にアクセスでき、*さらに*他のどのルールも `192.168.0.0/24` を参照していないためです。
### 192.168.0.0/24 のルールを追加する
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | s-xxxxx15 | 誤 | 10.0.0.0/16 |
| マネージャーグループに任意の送信先へのアクセスを提供する | s-xxxxx16 | 誤 | 0.0.0.0/0 |
| マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する | s-xxxxx16 | 誤 | 10.0.2.119/32 |
| エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.128/25 |
| エンジニアリンググループに任意の送信先へのアクセスを提供する | s-xxxxx14 | 誤 | 0.0.0.0/0 |
| マネージャーグループにクライアント VPN VPC へのアクセスを提供する | s-xxxxx16 | 誤 | 192.168.0.0/24 |
**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、パブリックインターネット、`172.16.0.0/24`、および `172.16.0.128/25` にアクセスできます。
**注記**
マネージャーグループが `192.168.0.0/24` にアクセスするルールを追加する方法によって、開発グループはその送信先ネットワークにアクセスできなくなることに注意してください。
### SAML フェデレーション認証
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | エンジニアリング | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | 開発者 | 誤 | 10.0.0.0/16 |
| マネージャーグループにクライアント VPN VPC へのアクセスを提供する | マネージャー | 誤 | 192.168.0.0/24 |
**結果として生じる動作**
+ 「エンジニアリング」グループ属性を使用して SAML 経由で認証されたユーザーは、`172.16.0.0/24` にのみアクセスできます。
+ 「開発者」グループ属性を使用して SAML 経由で認証されたユーザーは、`10.0.0.0/16` にのみアクセスできます。
+ 「管理者」グループ属性を使用して SAML 経由で認証されたユーザーは、`192.168.0.0/24` にのみアクセスできます。
+ 他のすべてのトラフィックは、クライアント VPN エンドポイントによって削除されます。
**注記**
SAML フェデレーション認証を使用する場合、[グループ ID] フィールドは、ユーザーのグループメンバーシップを識別する SAML 属性値に対応します。この属性は SAML ID プロバイダーで設定され、認証中にクライアント VPN に渡されます。
### すべてのユーザーグループのアクセス
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
| --- | --- | --- | --- |
| エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.0/24 |
| 開発グループに開発 VPC へのアクセスを提供する | s-xxxxx15 | 誤 | 10.0.0.0/16 |
| マネージャーグループに任意の送信先へのアクセスを提供する | s-xxxxx16 | 誤 | 0.0.0.0/0 |
| マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する | s-xxxxx16 | 誤 | 10.0.2.119/32 |
| エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する | s-xxxxx14 | 誤 | 172.16.0.128/25 |
| エンジニアリンググループにすべてのネットワークへのアクセスを提供する | s-xxxxx14 | 誤 | 0.0.0.0/0 |
| マネージャーグループにクライアント VPN VPC へのアクセスを提供する | s-xxxxx16 | 誤 | 192.168.0.0/24 |
| すべてのグループへのアクセスを提供する | 該当なし | 正 | 0.0.0.0/0 |
**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、パブリックインターネット、`172.16.0.0/24`、および `172.16.0.128/25` にアクセスできます。
+ 他のユーザーグループ (「管理者グループ」など) は、パブリックインターネットにアクセスできますが、他のルールで定義された他の送信先ネットワークにはアクセスできません。
# AWS Client VPN エンドポイントに認可ルールを追加する
AWS マネジメントコンソールを使用して、クライアント VPN エンドポイントへのアクセスを許可または制限する承認ルールを追加できます。承認ルールは、Amazon VPC コンソールまたはコマンドラインもしくは API を使用してクライアント VPN エンドポイントに追加できます。
**を使用してクライアント VPN エンドポイントに認可ルールを追加するには AWS マネジメントコンソール**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 認可ルールを追加するクライアント VPN エンドポイントを選択し、**[Authorization rules]** (認可ルール) を選択し、**[Add authorization rule]** (認可ルールを追加する) を選択します。
1. **[Destination network to enable access]** (アクセスを有効にする送信先ネットワーク) に、ユーザーがアクセスするネットワークの IP アドレスを CIDR 表記で入力します (VPC の CIDR ブロックなど)。
1. 指定したネットワークにアクセスしてもよいクライアントを指定します。[**For grant access to (アクセス権の付与対象)**] で、以下のいずれかを行います。
+ すべてのクライアントにアクセス許可を与えるには、[**Allow access to all users (すべてのユーザーにアクセスを許可する)**] を選択します。
+ 特定のクライアントへのアクセスを制限するには、[**特定のアクセスグループのユーザーへのアクセスを許可する**] を選択し、[**アクセスグループ ID**] に、アクセス権限を付与するグループの ID を入力します。たとえば、Active Directory グループのセキュリティ識別子 (SID) か、SAML ベースの ID プロバイダー (IdP) で定義されたグループの ID/名前を指定します。
+ (Active Directory) SID を取得するには、たとえば次のように、Microsoft Powershell の [Get-ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) コマンドレットを使用できます。
```
Get-ADGroup -Filter 'Name -eq ""'
```
または、[Active Directory Users and Computers (Active Directory ユーザーとコンピュータ)] ツールを開き、グループのプロパティを表示します。続いて、[Attribute Editor (属性エディタ)] タブに移動し、`objectSID` の値を取得します。必要に応じて、まず [**View (表示)**]、[**Advanced Features (高度な機能)**] の順に選択して、[Attribute Editor (属性エディタ)] タブを有効にします。
+ (SAML ベースのフェデレーション認証) グループの ID/名前は、SAML アサーションで返されるグループ属性情報と一致する必要があります。
1. [**説明**] に承認ルールの簡単な説明を入力します。
1. [**Add authorization rule (承認ルールを追加する)**] を選択します。
**クライアント VPN エンドポイントに承認ルールを追加するには (AWS CLI)**
[authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html) コマンドを使用します。
# AWS Client VPN エンドポイントから認可ルールを削除する
特定のクライアント VPN エンドポイントの承認ルールを削除するには、コンソールまたは AWS CLIを使用します。
**承認ルールを削除するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 承認ルールが追加されているクライアント VPN エンドポイントを選択し、**[承認ルール]** を選択します。
1. 削除する承認ルールを選択してから、**[承認ルールの削除]** を選択し、**[承認ルールの削除]** を再度選択して削除を確認します。
**承認ルールを削除するには (AWS CLI)**
[revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html) コマンドを使用します。
# AWS Client VPN 承認ルールの表示
特定のクライアント VPN エンドポイントの承認ルールを表示するには、コンソールまたは を使用しますAWS CLI
**承認ルールを表示するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. 認可ルールを表示するクライアント VPN エンドポイントを選択し、**[Authorization rules]** (認可ルール) を選択します。
**承認ルールを表示するには (AWS CLI)**
[describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html) コマンドを使用します。
# AWS Client VPN クライアント証明書失効リスト
クライアント証明書失効リストを使用して、特定のクライアント証明書のクライアント VPN エンドポイントへのアクセスを取り消すことができます。失効リストを生成するか、既存のリストをインポートできます。現在のリストを失効リストファイルとしてエクスポートすることもできます。リストの生成は、Linux/macOS または Windows で OpenVPN ソフトウェアを使用して実行されます。インポートとエクスポートは、Amazon VPC コンソールまたは CLI AWS を使用して実行できます。
サーバーとクライアント証明書の生成の詳細については、「[での相互認証 AWS Client VPN](mutual.md)」を参照してください。
**注記**
クライアント証明書失効リストの有効期限が切れている場合は、クライアント VPN エンドポイントに接続できません。新しいクライアント証明書失効リストを作成し、クライアント VPN エンドポイントにインポートする必要があります。
クライアント証明書失効リストに追加できるエントリの数は限られています。失効リストに追加できるエントリ数の詳細については、「[クライアント VPN クォータ](limits.md#quotas-endpoints)」を参照してください。
**Topics**
+ [クライアント証明書失効リストの生成](cvpn-working-certificates-generate.md)
+ [クライアント証明書失効リストのインポート](cvpn-working-certificates-import.md)
+ [クライアント証明書失効リストのエクスポート](cvpn-working-certificates-export.md)
# AWS Client VPN クライアント証明書失効リストを生成する
Linux/macOS または Windows オペレーティングシステムでクライアント VPN 証明書失効リストを生成できます。失効リストを使用して、特定の証明書のクライアント VPN エンドポイントへのアクセスを取り消すことができます。クライアント証明書失効リストの生成の詳細については、「[クライアント証明書失効リスト](cvpn-working-certificates.md)」を参照してください。
------
#### [ Linux/macOS ]
次の手順では、クライアント証明書失効リストの生成に OpenVPN の Easy-RSA というコマンドラインユーティリティを使用してください。
**OpenVPN Easy-RSA を使ってクライアント証明書失効リストを生成するには**
1. 証明書の生成に使用した easyrsa インストールをホストしているサーバーにログインします。
1. ローカルリポジトリの `easy-rsa/easyrsa3` フォルダに移動します。
```
$ cd easy-rsa/easyrsa3
```
1. クライアント証明書を取り消し、クライアント失効リストを生成します。
```
$ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl
```
プロンプトが表示されたら、`yes` を入力します。
------
#### [ Windows ]
次の手順では、OpenVPN ソフトウェアを使用してクライアント失効リストを生成します。ここでは、[OpenVPN ソフトウェアを使用してクライアントとサーバーの証明書およびキーを生成するステップ](mutual.md)に従っていることを前提としています。
**EasyRSA version 3.x.x を使ってクライアント証明書失効リストを生成するには**
1. コマンドプロンプトを開き、EasyRSA-3.x.x ディレクトリに移動します。これは、お使いのシステムにインストールされている場所に依存します。
```
C:\> cd c:\Users\windows\EasyRSA-3.x.x
```
1. `EasyRSA-Start.bat` ファイルを実行して EasyRSA シェルを起動します。
```
C:\> .\EasyRSA-Start.bat
```
1. EasyRSA シェルで、クライアント証明書を取り消します。
```
# ./easyrsa revoke client_certificate_name
```
1. プロンプトが表示されたら、`yes` を入力します。
1. クライアント証明書失効リストを生成します。
```
# ./easyrsa gen-crl
```
1. クライアント失効リストは、次の場所に作成されます。
```
c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
```
**以前の EasyRSA バージョンを使用してクライアント証明書失効リストを生成するには**
1. コマンドプロンプトを開き、OpenVPN ディレクトリに移動します。
```
C:\> cd \Program Files\OpenVPN\easy-rsa
```
1. `vars.bat` ファイルを実行します。
```
C:\> vars
```
1. クライアント証明書を取り消し、クライアント失効リストを生成します。
```
C:\> revoke-full client_certificate_name
C:\> more crl.pem
```
------
# AWS Client VPN クライアント証明書失効リストをインポートする
インポートするクライアント証明書失効リストを持っている必要があります。クライアント証明書失効リストの生成の詳細については、「[AWS Client VPN クライアント証明書失効リストを生成する](cvpn-working-certificates-generate.md)」を参照してください。
クライアント証明書失効リストのインポートには、コンソールと AWS CLIが使用できます。
**クライアント証明書失効リストをインポートするには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. クライアント証明書失効リストをインポートするクライアント VPN エンドポイントを選択します。
1. [**Actions**] を選択し、[**Import Client Certificate CRL (クライアント証明書 CRL のインポート)**] を選択します。
1. **[Certificate Revocation List]** (証明書失効リスト) で、クライアント証明書失効リストファイルの内容を入力し、**[Import client certificate CRL]** (クライアント証明書 CRL のインポート) を選択します。
**クライアント証明書失効リストをインポートするには (AWS CLI)**
[import-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html) コマンドを使用します。
```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```
# AWS Client VPN クライアント証明書失効リストをエクスポートする
コンソールと AWS CLIを使用して、クライアント証明書失効リストのエクスポートできます。
**クライアント証明書失効リストをエクスポートするには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. クライアント証明書失効リストをエクスポートするクライアント VPN エンドポイントを選択します。
1. **[Actions]** (アクション) を選択し、**[Export Client Certificate CRL]** (クライアント証明書 CRL のエクスポート) を選択し、**[Export Client Certificate CRL]** (クライアント証明書 CRL をエクスポートする) を選択します。
**クライアント証明書失効をエクスポートするには (AWS CLI)**
[export-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html) コマンドを使用します。
# AWS Client VPN クライアント接続
AWS Client VPN 接続は、クライアントによって特定のクライアント VPN エンドポイントに対して確立されたアクティブな VPN セッションと、そのエンドポイントに対して過去 60 分以内に終了した接続です。クライアントがクライアント VPN エンドポイントに正常に接続したとき、接続が確立されたことになります。セッションを終了すると、クライアント VPN エンドポイントへのクライアント接続は終了します。
クライアント VPN 接続を表示および終了できます。接続情報を表示すると、クライアント CIDR ブロック範囲から割り当てられた IP アドレス、エンドポイント ID、タイムスタンプなどの情報が返されます。セッションを終了すると、エンドポイントへの指定された VPN 接続が終了します。セッションの表示と終了は、Amazon VPC コンソールまたは AWS CLI を使用して行うことができます。エンドポイントに接続できない場合、問題を解決するための手順については、エラーに応じて「[AWS Client VPN のトラブルシューティング](troubleshooting.md)」を参照してください。
**Topics**
+ [クライアント接続の表示](cvpn-working-connections-view.md)
+ [クライアント接続の終了](cvpn-working-connections-disassociate.md)
# AWS Client VPN クライアント接続の表示
アクティブなクライアント VPN 接続は、Amazon VPC コンソールまたは AWS CLI を使用して表示できます。
**クライアント VPN クライアント接続を表示するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. クライアント接続を表示するクライアント VPN エンドポイントを選択します。
1. [**Connections (接続)**] タブを選択します。[**Connections (接続)**] タブに、すべてのアクティブなクライアント接続と終了されたクライアント接続が一覧表示されます。
**クライアント VPN クライアント接続を表示するには (AWS CLI)**
[describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html) コマンドを使用します。
# AWS Client VPN クライアント接続を終了する
Amazon VPC コンソールまたは CLI を使用して、クライアント VPN AWS クライアント接続を終了できます。
**クライアント VPN クライアント接続を終了するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. クライアントが接続しているクライアント VPN エンドポイントを選択し、**[接続]** を選択します。
1. 終了する接続を選択し、**[接続の終了]** を選択し、**[接続の終了]** を再度選択して終了を確認します。
**クライアント VPN クライアント接続を終了するには (AWS CLI)**
[terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html) コマンドを使用します。
# AWS Client VPN クライアントログインバナー
AWS Client VPN は、VPN セッションの確立時に、AWS が提供する Client VPN デスクトップアプリケーションにテキストバナーを表示するオプションを提供します。規制およびコンプライアンスのニーズを満たすために、テキストバナーのコンテンツを定義できます。最大 1400 の UTF-8 エンコード文字が使用できます。
**注記**
クライアントログインバナーが有効になっている場合、新しく作成された VPN セッションでのみ表示されます 既存の VPN セッションは中断されませんが、既存のセッションが再確立されるとバナーが表示されます。
## バナーの作成
ログインバナーは、クライアント VPN エンドポイントの作成時に最初に作成され、有効になります。Client VPN エンドポイントの作成時にクライアントログインバナーを有効にする手順については、「[AWS Client VPNエンドポイントを作成する](cvpn-working-endpoint-create.md)」を参照してください。
**Topics**
+ [バナーの作成](#configure-login-banner-endpoint-creation)
+ [既存のエンドポイントにクライアントログインバナーを設定する](configure-login-banner-existing-endpoint.md)
+ [エンドポイントのクライアントログインバナーを無効にする](disable-login-banner.md)
+ [既存のバナーテキストの変更](modify-banner-text.md)
+ [現在設定されているログインバナーを表示する](display-login-banner.md)
# 既存の AWS Client VPN エンドポイントのクライアントログインバナーを設定する
既存の Client VPN エンドポイントにクライアントログインバナーを設定するには、以下のステップを実行します。
**Client VPN エンドポイント (コンソール)でクライアントログインバナーを有効にする**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 変更するクライアント VPN エンドポイントを選択し、**[Action]** (アクション)、**[Modify Client VPN Endpoint]** (クライアント VPN エンドポイントの変更) の順に選択します。
1. ページを下にスクロールして、**[Other parameters]** (その他のパラメータ) セクションに移動します。
1. **[Enable client login banner]** (クライアントログインバナーを有効にする) をオンにします。
1. **クライアントログインバナーテキスト**には、VPN セッションが確立され AWS たときに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ、最大 1400 文字を使用できます。
1. **[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) を選択します。
**Client VPN エンドポイントでクライアントログインバナーを有効にする (AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。
# 既存の AWS Client VPN エンドポイントのクライアントログインバナーを無効にする
以下のステップを実行して、既存のクライアント VPN エンドポイントのクライアントログインバナーを無効にします。
**クライアント VPN エンドポイントのクライアントログインバナーを無効にする (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 変更するクライアント VPN エンドポイントを選択し、**[Action]** (アクション)、**[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) の順に選択します。
1. ページを下にスクロールして、**[Other parameters]** (その他のパラメータ) セクションに移動します。
1. **[Enable client login banner?]** (クライアントログインバナーを有効にしますか) をオフにします。
1. **[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) を選択します。
**クライアント VPN エンドポイントのクライアントログインバナーを無効にする (AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。
# AWS Client VPN エンドポイントの既存のバナーテキストを変更する
次のステップを実行して、既存のクライアント VPN クライアントログインバナーのテキストを変更します。
**Client VPN エンドポイントで使用している既存のバナーテキストを変更する (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 変更するクライアント VPN エンドポイントを選択し、**[Action]** (アクション)、**[Modify Client VPN Endpoint]** (クライアント VPN エンドポイントの変更) の順に選択します。
1. **[Enable client login banner?]** (クライアントログインバナーを有効にしますか?) がオンになっていることを確認します。
1. **クライアントログインバナーテキスト**の場合、既存のテキストを、VPN セッションの確立時に AWS 提供されたクライアントのバナーに表示する新しいテキストに置き換えます。最大 1400 の UTF-8 エンコード文字のみ使用できます。
1. **[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) を選択します。
**Client VPN エンドポイントのクライアントログインバナーを変更する (AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。
# 現在設定されている AWS Client VPN ログインバナーを表示する
現在設定されているクライアント VPN クライアントログインバナーを表示するには、次のステップを実行します。
**Client VPN エンドポイントで使用している現在のログインバナーを表示する (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 表示する Client VPN エンドポイントを選択します。
1. **[Details]** (詳細) タブが選択されていることを確認します。
1. **[Client login banner text]** (クライアントログインバナーテキスト) の横に、現在設定されているログインバナーテキストが表示されます。
**Client VPN エンドポイントで、現在設定されているログインバナーを表示する (AWS CLI)**
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) コマンドを使用します。
# AWS Client VPN クライアントルートの適用
クライアントルート強制は、VPN 経由で接続されたデバイスに対して、管理者が定義したルートを強制するのに役立ちます。この機能は、接続されたクライアントから発信されたネットワークトラフィックが誤って VPN トンネルの外部に送信されないようにすることで、セキュリティ体制を強化するのに役立ちます。
クライアントルート強制は、接続されたデバイスのメインルーティングテーブルをモニタリングし、アウトバウンドネットワークトラフィックが、クライアント VPN エンドポイントで設定されたネットワークルートに従って VPN トンネルを通過するようにします。これには、VPN トンネルと競合するルートが検出された場合のデバイスのルーティングテーブルの変更が含まれます。クライアントルート強制は、IPv4 アドレスファミリーと IPv6 アドレスファミリーの両方をサポートします。
## 要件
クライアントルートの適用は、以下の AWS 提供されているクライアント VPN バージョンでのみ機能します。
+ Windows バージョン 5.2.0 以降 (IPv4 サポート)
+ macOS バージョン 5.2.0 以降 (IPv4 サポート)
+ Ubuntu バージョン 5.2.0 以降 (IPv4 サポート)
+ Windows バージョン 5.3.0 以降 (IPv6 サポート)
+ macOS バージョン 5.3.0 以降 (IPv6 サポート)
+ Ubuntu バージョン 5.3.0 以降 (IPv6 サポート)
デュアルスタックエンドポイントの場合、クライアントルート強制の設定は IPv4 スタックと IPv6 スタックの両方に同時に適用されます。1 つのスタックに対してのみクライアントルート強制を有効にすることはできません。
## ルーティングの競合
クライアントが VPN に接続されている間、クライアントのローカルルートテーブルとエンドポイントのネットワークルートの比較が行われます。2 つのルートテーブルエントリ間にネットワークの重複がある場合、ルーティングの競合が発生します。重複するネットワークの例を次に示します。
+ `172.31.0.0/16`
+ `172.31.1.0/24`
この例では、これらの CIDR ブロックがルーティングの競合を引き起こしています。例えば、`172.31.0.0/16` は VPN トンネル CIDR である場合があります。`172.31.1.0/24` はプレフィックスがより長く、より具体的であるため、通常は優先され、`172.31.1.0/24` の IP 範囲内の VPN トラフィックを別の宛先にリダイレクトする可能性があります。これにより、意図しないルーティング動作が発生する可能性があります。ただし、クライアントルート強制を有効にすると、後者の CIDR は削除されます。この機能を使用する場合は、ルーティングの競合の可能性を考慮する必要があります。
フルトンネル VPN 接続は、VPN 接続を介してすべてのネットワークトラフィックをルーティングします。そのため、クライアントルート強制機能が有効になっている場合、VPN に接続されたデバイスはローカルネットワーク (LAN) リソースにアクセスできなくなります。ローカル LAN アクセスが必要な場合は、フルトンネルモードの代わりに分割トンネルモードを使用することを検討してください。分割トンネルの詳細については、「[分割トンネルクライアント VPN](split-tunnel-vpn.md)」を参照してください。
## 考慮事項
クライアントルート強制をアクティブ化する前に、次の情報を考慮する必要があります。
+ 接続時にルーティングの競合が検出されると、この機能はクライアントのルートテーブルを更新してトラフィックを VPN トンネルに転送します。接続が確立される前に存在し、この機能によって削除されたルートは復元されます。
+ この機能はメインルーティングテーブルにのみ適用され、他のルーティングメカニズムには適用されません。たとえば、クライアントルート強制は以下には適用されません。
+ ポリシーベースのルーティング
+ インターフェイススコープのルーティング
+ クライアントルート強制は、VPN トンネルが開いている間、VPN トンネルを保護します。トンネルが切断された後、またはクライアントが再接続している間は保護されません。
### OpenVPN ディレクティブがクライアントルート強制に与える影響
OpenVPN 設定ファイルの一部のカスタムディレクティブには、クライアントルート強制との以下の特定のやり取りがあります。
+ `route` ディレクティブ
+ VPN ゲートウェイにルートを追加する場合。例えば、VPN ゲートウェイにルート `192.168.100.0 255.255.255.0` を追加するとします。
VPN ゲートウェイに追加されたルートは、他の VPN ルートと同様にクライアントルート強制によってモニタリングされます。競合するルートは検出され、削除されます。
+ VPN 以外のゲートウェイにルートを追加する場合。例えば、ルート `192.168.200.0 255.255.255.0 net_gateway` を追加するとします。
VPN 以外のゲートウェイに追加されたルートは、VPN トンネルをバイパスするため、クライアントルート強制から除外されます。競合するルートは、それらのルート内で許可されます。この例では、上記のルートはクライアントルート強制によるモニタリングから除外されます。
+ IPv4 ルートと同様に、VPN ゲートウェイに追加された IPv6 ルートはクライアントルート強制によってモニタリングされ、VPN 以外のゲートウェイに追加されたルートはモニタリング対象から除外されます。
### 無視されたルート
次の IPv4 ネットワークへのルートは、クライアントルート強制によって無視されます。
+ `127.0.0.0/8` — ローカルホスト用に予約済み
+ `169.254.0.0/16` — リンクローカルアドレス用に予約済み
+ `224.0.0.0/4` — マルチキャスト用に予約済み
+ `255.255.255.255/32` — ブロードキャスト用に予約済み
次の IPv6 ネットワークへのルートは、クライアントルート強制によって無視されます。
+ `::1/128` — ループバック用に予約済み
+ `fe80::/10` — リンクローカルアドレス用に予約済み
+ `ff00::/8` — マルチキャスト用に予約済み
**Topics**
+ [要件](#requirements-cre)
+ [ルーティングの競合](#route-conflict-cre)
+ [考慮事項](#considerations-cre)
+ [クライアントルートの強制を有効にする](activate-cre.md)
+ [クライアントルート強制を無効にする](deactivate-cre.md)
+ [IPv6 クライアントルート強制のトラブルシューティング](cre-ipv6-troubleshooting.md)
# AWS Client VPN エンドポイントのクライアントルート強制をアクティブ化する
コンソールまたは AWS CLIを使用して、既存のクライアント VPN エンドポイントでクライアントルート強制を有効にできます。
**コンソールを使用してクライアントルート強制を有効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 変更するクライアント VPN エンドポイントを選択し、**[アクション]**、**[クライアント VPN エンドポイントの変更]** の順に選択します。
1. ページを下にスクロールして、**[その他のパラメータ]** セクションに移動します。
1. **[クライアントルート強制]** を有効にします。
1. **[クライアント VPN エンドポイントの変更]** を選択します。
**AWS CLIを使用してクライアントルートの強制を有効にするには**
+ [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。
# AWS Client VPN エンドポイントからクライアントルートの適用を無効にする
コンソールまたは AWS CLIを使用して、クライアント VPN エンドポイントでクライアントルート強制を無効にすることができます。
**コンソールを使用してクライアントルート強制を無効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 変更するクライアント VPN エンドポイントを選択し、**[アクション]**、**[クライアント VPN エンドポイントの変更]** の順に選択します。
1. ページを下にスクロールして、**[その他のパラメータ]** セクションに移動します。
1. **[クライアントルート強制]** をオフにします。
1. **[クライアント VPN エンドポイントの変更]** を選択します。
**を使用してクライアントルートの強制を無効にするには AWS CLI**
+ [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。
# IPv6 クライアントルート強制のトラブルシューティング
IPv6 クライアントルート強制で問題が発生した場合は、次のトラブルシューティング手順を検討してください。
クライアントバージョンを確認する
IPv6 クライアントルート強制のサポートに必要となる AWS VPN クライアントバージョン 5.3.0 以降を使用していることを確認します。
エンドポイントの設定を確認する
エンドポイントでクライアントルート強制が有効になっており、IPv6 またはデュアルスタックトラフィック用に設定されていることを確認します。
クライアントログを調べる
IPv6 クライアントルート強制に関連するエラーメッセージについては、AWS VPN クライアントログを確認します。「IPv6」と「クライアントルート強制」または「CRM」を含むエントリを探します。
ルーティングテーブルを検査する
オペレーティングシステムに適切なコマンドを使用して、IPv6 ルーティングテーブルを表示します。
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`
競合するルートを確認する
VPN ルートと競合する可能性のある IPv6 ルートを探します。送信先が同じでゲートウェイが異なるルートには特に注意してください。
ISP IPv6 のサポートを確認する
インターネットサービスプロバイダー (ISP) で IPv6 が正しくサポートされていることを確認します。
これらのトラブルシューティング手順を試した後も IPv6 クライアントルート強制に関する問題が解決しない場合は、AWS サポートにお問い合わせください。
# AWS Client VPN エンドポイント
すべての AWS Client VPN セッションで、クライアント VPN エンドポイントとの通信が確立されます。クライアント VPN エンドポイントを管理して、そのエンドポイントでクライアント VPN セッションを作成、変更、表示、削除できます。エンドポイントは、Amazon VPC コンソールまたは AWS CLI を使用して作成および変更できます。
## クライアント VPN エンドポイントを作成するための要件
**重要**
クライアント VPN エンドポイントは、目的のターゲットネットワークがプロビジョニングされているのと同じ AWS アカウントで作成する必要があります。また、サーバー証明書を生成し、必要に応じてクライアント証明書を生成する必要があります。詳細については、「[でのクライアント認証 AWS Client VPN](client-authentication.md)」を参照してください。
作業を開始する前に、次のことを必ず実行してください。
+ [を使用するためのルールとベストプラクティス AWS Client VPN](what-is-best-practices.md) のルールと制限を確認します。
+ サーバー証明書を生成し、必要に応じてクライアント証明書を取得します。詳細については、「[でのクライアント認証 AWS Client VPN](client-authentication.md)」を参照してください。
## IP アドレスのタイプ
AWS Client VPN はIPv4-only, IPv6-only、およびデュアルスタックの設定をサポートします。次のガイダンスは、クライアントデバイスの機能、ネットワークインフラストラクチャ、およびアプリケーション要件に基づいて、適切な IP アドレスタイプを選択するのに役立ちます。
### エンドポイントアドレスタイプ
エンドポイントアドレスタイプは、クライアント VPN エンドポイントがクライアント接続でサポートする IP プロトコルを決定します。エンドポイントの作成後に設定を変更することはできません。
**次の場合、IPv4 のみを選択します。**
+ クライアントデバイスが IPv4 VPN 接続のみをサポートしている
+ セキュリティツールが IPv4 トラフィック検査に最適化されている
**次の場合、IPv6 のみを選択します。**
+ すべてのクライアントデバイスが IPv6 接続を完全にサポートしている
+ ネットワークで IPv4 アドレスが枯渇している
**次の場合、デュアルスタックを選択します。**
+ IP 機能が異なるクライアントデバイスが混在している
+ IPv4 から IPv6 に段階的に移行している
### トラフィック IP アドレスタイプ
トラフィック IP アドレスタイプは、エンドポイントでサポートされているプロトコルに関係なく、クライアント VPN がクライアントと VPC リソースの間のトラフィックをルーティングする方法を制御します。
**次の場合、トラフィックを IPv4 としてルーティングします。**
+ VPC 内のターゲットアプリケーションが IPv4 のみをサポートしている
+ 複雑な IPv4 セキュリティグループやネットワーク ACL が存在する
+ レガシーシステムに接続している
**次の場合、トラフィックを IPv6 としてルーティングします。**
+ VPC インフラストラクチャが主に IPv6 である
+ ネットワークアーキテクチャを将来にわたって保護したい
+ IPv6 用に構築された最新のアプリケーションが存在する
## エンドポイントの変更
**注記**
クイックスタートセットアップを使用して作成されたクライアント VPN エンドポイントは、標準セットアップで作成されたエンドポイントと同じ手順を使用して変更できます。作成時に使用されたセットアップ方法に関係なく、すべての設定オプションを使用できます。
クライアント VPN を作成した後、次の設定を変更できます。
+ 説明
+ サーバー証明書
+ クライアント接続ログオプション
+ クライアント接続ハンドラーのオプション
+ DNS サーバー
+ スプリットトンネルオプション
+ ルート (分割トンネルオプションを使用する場合)
+ 証明書失効リスト (CRL)
+ 承認ルール
+ VPC とセキュリティグループの関連付け
+ VPN ポート番号
+ セルフサービスポータルオプション
+ VPN セッションの最大継続時間
+ セッションタイムアウト時の自動再接続を有効または無効にする
+ クライアントログインバナーテキストを有効または無効にする
+ クライアントログインバナーテキスト
**注記**
Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。
クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。
クライアント VPN エンドポイントで次のいずれかのパラメータを変更すると、接続がリセットされます。
+ サーバー証明書
+ DNS サーバー
+ スプリットトンネルオプション (サポートをオンまたはオフ)
+ ルート (スプリットトンネルオプションを使用する場合)
+ 証明書失効リスト (CRL)
+ 承認ルール
+ VPN ポート番号
**Topics**
+ [クライアント VPN エンドポイントを作成するための要件](#cvpn-working-create-req)
+ [IP アドレスのタイプ](#cvpn-ip-address-types)
+ [エンドポイントの変更](#cvpn-endpoints-modify-req)
+ [エンドポイントを作成する](cvpn-working-endpoint-create.md)
+ [エンドポイントを表示する](cvpn-working-endpoint-view.md)
+ [エンドポイントを変更する](cvpn-working-endpoint-modify.md)
+ [エンドポイントを削除します](cvpn-working-endpoint-delete.md)
# AWS Client VPNエンドポイントを作成する
クライアントが Amazon VPC コンソールまたは を使用して VPN セッションを確立できるようにするAWS Client VPNエンドポイントを作成しますAWS CLI。クライアント VPN は、初期作成時にトラフィックタイプ (IPv4、IPv6、デュアルスタック) を持つエンドポイントタイプ (スプリットトンネルとフルトンネル) のすべての組み合わせをサポートします。
エンドポイントを作成する前に、要件を理解してください。詳細については、「[クライアント VPN エンドポイントを作成するための要件](cvpn-working-endpoints.md#cvpn-working-create-req)」を参照してください。
**コンソールを使用してクライアント VPN エンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで **[クライアント VPN エンドポイント]** を選択し、**[クライアント VPN エンドポイントの作成]** を選択します。
1. 「セットアップ方法の選択」で、次のいずれかを選択します。
+ クイックスタート - AWS が推奨するデフォルトを使用してエンドポイントを作成する
+ 標準 - エンドポイントのすべての設定を手動で設定する
**クイックスタート設定:**
1. 「セットアップ方法の選択」で、クイックスタートを選択します。
1. 「クライアント IPv4 CIDR」には、クライアント IP アドレスを割り当てる IP アドレス範囲を入力します。AWS では、/22 CIDR ブロック (10.0.0.0/22 など) を使用することをお勧めします。
1. 「VPC」で、クライアント VPN エンドポイントに関連付ける VPC を選択します。
1. 「サブネット」で、VPC 内の 1 つ以上のサブネットを選択します。これらのサブネットは、ターゲットネットワークの関連付けに使用されます。
1. [サーバー証明書 ARN] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。
1. 「クライアント VPN エンドポイントの作成」を選択します。
AWS は、次のリソースを自動的に作成します。
+ すべてのユーザーに VPC CIDR へのアクセスを許可する承認ルール
+ 選択した VPC サブネットとのターゲットネットワークの関連付け
+ VPC CIDR のルートテーブルエントリ
エンドポイントを作成したら、エンドポイントの詳細ページからクライアント設定ファイルをダウンロードし、クライアント証明書とキーとともにユーザーに配布できます。
**標準セットアップ:**
1. 「セットアップ方法の選択」で、「標準」を選択します。
1. (オプション) クライアント VPN エンドポイントの名前タグと説明を入力します。
1. **[エンドポイント IP アドレスタイプ]** で、エンドポイントの IP アドレスタイプを選択します。
+ **IPv4**: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスを使用します。
+ **IPv6**: エンドポイントは、外部 VPN トンネルトラフィックに IPv6 アドレスを使用します。
+ **デュアルスタック**: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスと IPv6 アドレスの両方を使用します。
1. **[トラフィックの IP アドレスタイプ]** で、エンドポイントを通過するトラフィックの IP アドレスタイプを選択します。
+ **IPv4**: エンドポイントは IPv4 トラフィックのみをサポートします。
+ **IPv6**: エンドポイントは IPv6 トラフィックのみをサポートします。
+ **デュアルスタック**: エンドポイントは、IPv4 と IPv6 トラフィックの両方をサポートします。
1. **[クライアント IPv4 CIDR]** に、クライアント IP アドレスを割り当てる IP アドレス範囲を CIDR 表記で指定します。例えば、`10.0.0.0/22` と指定します。これは、トラフィック IP アドレスタイプに IPv4 またはデュアルスタックを選択した場合に必要です。
**注記**
IP アドレス範囲は、ターゲットネットワークのアドレス範囲、VPC のアドレス範囲、またはクライアント VPN エンドポイントに関連付けられるルートと重複できません。クライアントアドレス範囲は /22 以上で、/12 CIDR ブロックサイズを超えないようにする必要があります。クライアント VPN エンドポイントの作成後にクライアントのアドレス範囲を変更することはできません。
エンドポイント IP アドレスタイプとして IPv6 を選択すると、クライアント IPv4 CIDR フィールドは無効になります。クライアント VPN エンドポイントは、関連付けられたサブネットからクライアント IPv6 アドレスを割り当てます。エンドポイントの作成後にサブネットを関連付けることができます。
**注記**
IPv6 トラフィックの場合、クライアント CIDR 範囲を指定する必要はありません。Amazon はクライアントに IPv6 CIDR 範囲を自動的に割り当てます。
1. **[サーバー証明書 ARN]** に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。
**注記**
サーバー証明書は、クライアント VPN エンドポイントを作成するリージョンのAWS Certificate Manager(ACM) に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。
証明書を ACM にプロビジョニングまたはインポートする手順については、「*AWS Certificate Managerユーザーガイド*」の「[AWS Certificate Manager証明書](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)」を参照してください。
1. VPN 接続を確立するとき、クライアントを認証するために使用する認証方法を指定します。認証方法を選択する必要があります。
+ ユーザーベースの認証を使用するには、**[ユーザーベースの認証を使用]** を選択し、次のいずれかを選択します。
+ **Active Directory 認証**: Active Directory 認証の場合はこのオプションを選択します。**[ディレクトリ ID]** には、使用する Active Directory の ID を指定します。
+ **フェデレーション認証**: SAML ベースのフェデレーション認証の場合は、このオプションを選択します。
**[SAML プロバイダー ARN]** には、IAM SAML ID プロバイダーの ARN を指定します。
(オプション) **[セルフサービス SAML プロバイダー ARN]** で、[セルフサービスポータルをサポート](federated-authentication.md#saml-self-service-support)するために作成した IAM SAML ID プロバイダーの ARN を指定します (該当する場合)。
+ 相互証明書認証を使用するには、**相互認証を使用する**を選択し、**クライアント証明書 ARN** に、AWS Certificate Manager(ACM) でプロビジョニングされているクライアント証明書の ARN を指定します。
**注記**
サーバー証明書とクライアントの証明書が同じ認証機関 (CA) によって発行されている場合、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用できます。クライアント証明書が別の CA によって発行された場合は、クライアント証明書 ARN を指定する必要があります。
1. (オプション) **[Connection logging]** (接続ログ) で、Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。**[クライアント接続のログの詳細を有効化]** をオンにします。**[CloudWatch Logs ロググループ名]** に、使用するロググループの名前を入力します。**[CloudWatch Logs ログストリーム名]** に、使用するログストリームの名前を入力するか、このオプションを空白のままにしておくとログストリームが自動的に作成されます。
1. (オプション) クライアント VPN エンドポイントへの新しい接続を許可または拒否するカスタムコードを実行するには、**[クライアント接続ハンドラー]** で、**[クライアント接続ハンドラーを有効化]** をオンにします。**[クライアント接続ハンドラー ARN]** で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。
1. (オプション) DNS 解決に使用する DNS サーバーを指定します。カスタム DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** と **[DNS サーバー 2 IP アドレス]** に、使用する DNS サーバーの IPv4 アドレスを指定します。IPv6 またはデュアルスタックエンドポイントの場合、**[DNS サーバー IPv6 1]** と **[DNS サーバー IPv6 2]** のアドレスを指定することもできます。VPC DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** または **[DNS サーバー 2 IP アドレス]** のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。
**注記**
クライアントが DNS サーバーに到達できることを確認します。
1. (オプション) デフォルトでは、クライアント VPN エンドポイントは `UDP` 転送プロトコルを使用します。代わりに `TCP` トランスポートプロトコルを使用するには、**[トランスポートプロトコル]** の **[TCP]** を選択します。
**注記**
UDP は通常、TCP よりも優れたパフォーマンスが得られます。クライアント VPN エンドポイントを作成した後で、トランスポートプロトコルを変更することはできません。
1. (オプション) エンドポイントを分割トンネルクライアント VPN エンドポイントにするには、**[分割トンネルを有効にする]** をオンにします。デフォルトでは、Client VPN エンドポイントの分割トンネルは無効になっています。
1. (オプション) **[VPC ID]** で、クライアント VPN エンドポイントに関連付ける VPC を選択します。**[セキュリティグループ ID]** で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。
1. (オプション) **[VPN ポート]** で、VPN ポート番号を選択します。デフォルトは 443 です。
1. (オプション) クライアントの[セルフサービスポータルの URL](cvpn-self-service-portal.md) を生成するには、**[セルフサービスポータルを有効にする]** を有効にします。
1. (オプション) **[セッションタイムアウト時間]** で、使用可能なオプションから希望する最大 VPN セッション継続時間を時間単位で選択するか、デフォルトの 24 時間のままにしておきます。
1. (オプション) **[セッションタイムアウト時に接続を解除]** で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択すると、セッションがタイムアウトしたときに、ユーザーはエンドポイントに手動で再接続しなければならなくなります。このオプションを選択しない場合、クライアント VPN は自動的に再接続を試みます。
1. (オプション) クライアントログインバナーテキストを有効にするか指定します。**[クライアントログインバナーを有効化]** をオンにします。**[クライアントログインバナーテキスト]** に、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。
1. **[クライアント VPN エンドポイントの作成]** を選択します。
クライアント VPN エンドポイントを作成したら、次の手順を実行して設定を完了し、クライアントが接続できるようにします。
+ クライアント VPN エンドポイントの初期状態は `pending-associate` です。最初の[ターゲットネットワーク](cvpn-working-target-associate.md)を関連付けて初めて、クライアントがクライアント VPN エンドポイントに接続できるようになります。
+ [承認ルール](cvpn-working-rules.md)を作成して、ネットワークにアクセスできるクライアントを指定します。
+ クライアントに配布するクライアント VPN エンドポイント[設定ファイル](cvpn-working-endpoint-export.md)をダウンロードして準備します。
+ AWS提供されたクライアントまたは別の OpenVPN ベースのクライアントアプリケーションを使用してクライアント VPN エンドポイントに接続するようにクライアントに指示します。詳細については、「[AWS Client VPNユーザーガイド](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)」を参照してください。
**を使用してクライアント VPN エンドポイントを作成するにはAWS CLI**
[create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) コマンドを使用します。
IPv4 エンドポイントの作成例:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
IPv6 エンドポイントの作成例:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "ipv6" \
--traffic-ip-address-type "ipv6" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
デュアルスタックエンドポイントの作成例:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
# AWS Client VPN エンドポイントを表示する
Amazon VPC コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントに関する情報を表示できます。
**クライアント VPN エンドポイントルートを表示するには (コンソール)**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 表示するクライアント VPN エンドポイントを選択します。
1. **[詳細]**、**[ターゲットネットワークの関連付け]**、**[セキュリティグループ]**、**[承認ルール]**、**[ルートテーブル]**、**[接続]**、および **[タグ]** タブを使用して、既存のクライアント VPN エンドポイントに関する情報を表示します。
フィルターを使用して、検索を絞り込むこともできます。
**クライアント VPN エンドポイントを表示するには (AWS CLI)**
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) コマンドを使用します。
# AWS Client VPN エンドポイントを変更する
Amazon VPC コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを変更できます。変更できるクライアント VPN フィールドの詳細については、「[エンドポイントの変更](cvpn-working-endpoints.md#cvpn-endpoints-modify-req)」を参照してください。
## 制限
エンドポイントを変更する場合、次の制限が適用されます。
+ Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。
+ クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。
+ 既存の IPv4 エンドポイントは、エンドポイント IP タイプとトラフィック IP タイプの両方でデュアルスタックに変更できます。エンドポイント IP とトラフィック IP を IPv6 のみにする必要がある場合は、新しいエンドポイントを作成する必要があります。
+ クライアント VPN は、作成後のエンドポイントタイプ (IPv4、IPv6、デュアルスタック) またはトラフィックタイプ (IPv4、IPv6、デュアルスタック) の変更をサポートしていません。
+ 特定のエンドポイントタイプとトラフィックタイプが組み合わされたクライアント VPN の変更はサポートされていません。他の組み合わせに変更することはできません。エンドポイントを削除し、必要な設定で再作成する必要があります。
+ IPv6 トラフィックのクライアント間通信はサポートされていません。
## クライアント VPN エンドポイントを変更する
コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを変更できます。
**コンソールを使用してクライアント VPN エンドポイントを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 変更するクライアント VPN エンドポイントを選択し、**[Action]** (アクション)、**[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) の順に選択します。
1. (オプション) **[説明]** で、クライアント VPN エンドポイントの簡単な説明を入力します。
1. **[エンドポイント IP アドレスタイプ]** では、既存の IPv4 エンドポイントをデュアルスタックに変更できます。このオプションは IPv4 エンドポイントでのみ使用できます。
1. **[トラフィック IP アドレスタイプ]** では、既存の IPv4 エンドポイントをデュアルスタックに変更できます。このオプションは IPv4 エンドポイントでのみ使用できます。
1. **[サーバー証明書 ARN]** に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。
**注記**
サーバー証明書は、クライアント VPN エンドポイントを作成しているリージョンの AWS Certificate Manager(ACM)に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。
1. Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。**[Enable log details on client connections]** (クライアント接続の詳細のログを有効にする) で、次のいずれかの操作を行います。
+ クライアント接続のログを有効にするには、**[Enable log details on client connections]** (クライアント接続の詳細なログを有効にする) をオンにします。**[CloudWatch Logs log group name]** (CloudWatch Logs ロググループ名) で、使用するロググループの名前を選択します。**[CloudWatch Logs log stream name]** (CloudWatch Logs ログストリーム名) で、使用するログストリームの名前を選択します。または、このオプションを空白のままにしておくと、ログストリームが自動的に作成されます。
+ クライアント接続のログを無効にするには、**[Enable log details on client connections]** (クライアント接続の詳細なログを有効にする) をオフにします。
1. **[Client connect handler]** (クライアント接続ハンドラー) で、[クライアント接続ハンドラー](connection-authorization.md)を有効にするには、**[Enable client connect handler]** (クライアント接続ハンドラーを有効にする) をオンにします。**[クライアント接続ハンドラー ARN]** で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。
1. **[DNS サーバーを有効にする]** をオンまたはオフにします。カスタム DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** と **[DNS サーバー 2 IP アドレス]** に、使用する DNS サーバーの IPv4 アドレスを指定します。IPv6 またはデュアルスタックエンドポイントの場合、**[DNS サーバー IPv6 1]** と **[DNS サーバー IPv6 2]** のアドレスを指定することもできます。VPC DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** または **[DNS サーバー 2 IP アドレス]** のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。
**注記**
クライアントが DNS サーバーに到達できることを確認します。
1. **[スプリットトンネルを有効にする]** をオンまたはオフにします。デフォルトでは、VPN エンドポイントの分割トンネルは無効です。
1. **[VPC ID]** で、クライアント VPN エンドポイントに関連付ける VPC を選択します。**[セキュリティグループ ID]** で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。
1. **[VPN ポート]** で、VPN ポート番号を選択します。デフォルトは 443 です。
1. クライアントの[セルフサービスポータルの URL](cvpn-self-service-portal.md) を生成するには、**[セルフサービスポータルを有効にする]** をオンにします。
1. **[セッションタイムアウト時間]** で、使用可能なオプションから目的の最大 VPN セッション継続時間 (時間単位) を選択するか、デフォルトの 24 時間のままに設定しておきます。
1. **[セッションタイムアウト時に接続を解除]** で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択すると、セッションがタイムアウトしたときに、ユーザーはエンドポイントに手動で再接続しなければならなくなります。このオプションを選択しない場合、クライアント VPN は自動的に再接続を試みます。
1. **[クライアントログインバナーを有効化]** をオンまたはオフにします。クライアントログインバナーを使用する場合は、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。
1. **[クライアント VPN エンドポイントの変更]** を選択します。
**AWS CLI を使用してクライアント VPN エンドポイントを変更するには**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。
IPv4 エンドポイントをデュアルスタックに変更する例:
```
aws ec2 modify-client-vpn-endpoint \
--client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16"
```
# AWS Client VPN エンドポイントを削除します
クライアント VPN エンドポイントを削除する前に、すべてのターゲットネットワークの関連付けを解除する必要があります。クライアント VPN エンドポイントを削除すると、そのステータスは `deleting` に変わり、クライアントが接続できなくなります。
コンソールまたは を使用して、クライアント VPN エンドポイントを削除できますAWS CLI
**クライアント VPN エンドポイントを削除するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. 削除するクライアント VPN エンドポイントを選択します。**[Actions]** (アクション)、**[Delete Client VPN endpoint]** (クライアント VPN エンドポイントの削除) の順に選択します。
1. 確認ウィンドウに *delete* と入力して、**[Delete]** (削除) を選択します。
**クライアント VPN エンドポイントを削除するには (AWS CLI)**
[delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html) コマンドを使用します。
# AWS Client VPN 接続ログ
新規または既存のクライアント VPN エンドポイントの接続ログを有効にして、接続ログのキャプチャを開始できます。接続ログには、クライアント VPN エンドポイントのログイベントのシーケンスが表示されます。接続ログを有効にすると、ロググループ内のログストリームの名前を指定できます。ログストリームを指定しない場合、クライアント VPN サービスによって自動的に作成されます。次に、接続ログは、クライアント接続リクエスト、クライアント接続結果 (成功または失敗)、接続結果に失敗した理由、エンドポイントからのクライアント終了時間を記録します。
開始する前に、アカウントに CloudWatch Logs ロググループが必要です。詳細については、*Amazon CloudWatch Logs ユーザーガイド*の「[ロググループとログストリームを操作する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)」を参照してください。CloudWatch Logs の使用には料金が適用されます。詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com/cloudwatch/pricing/)」を参照してください。
クライアント VPN 接続ログは、Amazon VPC コンソールまたは AWS CLI を使用して作成できます。
**Topics**
+ [新しい エンドポイントの接続ログを有効にする](create-connection-log-new.md)
+ [既存の エンドポイントの接続ログを有効にする](create-connection-log-existing.md)
+ [接続ログの表示](view-connection-logs.md)
+ [接続ログを無効にする](disable-connection-logs.md)
# 新しい AWS Client VPN エンドポイントの接続ログ記録を有効にする
コンソールまたはコマンドラインを使用して新しいクライアント VPN エンドポイントを作成するときに、接続ログを有効にできます。
**コンソールを使用して新しいクライアント VPN エンドポイントの接続ログを有効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで **[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択し、**[Create Client VPN endpoint]** (クライアント VPN エンドポイントの作成) を選択します。
1. [**接続ログ**] セクションが表示されるまでオプションを完了します。オプションの詳細については、「[AWS Client VPNエンドポイントを作成する](cvpn-working-endpoint-create.md)」を参照してください。
1. **[Connection logging]** (接続ログ) の **[Enable log details on client connections]** (クライアント接続の詳細なログを有効にする) をオンにします。
1. [**CloudWatch Logs ロググループ名**] で、CloudWatch Logs ロググループの名前を選択します。
1. (オプション) [**CloudWatch Logs ログストリーム名**] で、CloudWatch Logs ログストリームの名前を選択します。
1. **[Create Client VPN endpoint]** (クライアント VPN エンドポイントの作成) を選択します。
**を使用して新しいクライアント VPN エンドポイントの接続ログ記録を有効にするには AWS CLI**
[create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) コマンドを使用して、`--connection-log-options` パラメータを指定します。次の例に示すように、接続ログ情報を JSON 形式で指定できます。
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# 既存の AWS Client VPN エンドポイントの接続ログ記録を有効にする
コンソールまたはコマンドラインを使用して、既存のクライアント VPN エンドポイントの接続ログを有効にできます。
**コンソールを使用して既存のクライアント VPN エンドポイントの接続ログを有効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. クライアント VPN エンドポイントを選択し、**[Action]** (アクション)、**[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) の順に選択します。
1. **[Connection logging]** (接続ログ) の **[Enable log details on client connections]** (クライアント接続の詳細なログを有効にする) をオンにします。
1. [**CloudWatch Logs ロググループ名**] で、CloudWatch Logs ロググループの名前を選択します。
1. (オプション) [**CloudWatch Logs ログストリーム名**] で、CloudWatch Logs ログストリームの名前を選択します。
1. **[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) を選択します。
**を使用して既存のクライアント VPN エンドポイントの接続ログ記録を有効にするには AWS CLI**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用して、`--connection-log-options` パラメータを指定します。次の例に示すように、接続ログ情報を JSON 形式で指定できます。
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# AWS Client VPN 接続ログの表示
CloudWatch Logs コンソールを使用して、クライアント VPN 接続ログを表示できます。
**コンソールを使用して接続ログを表示するには**
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで、[**ロググループ**] を選択し、接続ログを含むロググループを選択します。
1. クライアント VPN エンドポイントのログストリームを選択します。
**注記**
[**タイムスタンプ**] 列には、接続の時刻ではなく、接続ログが CloudWatch Logs にパブリッシュされた時刻が表示されます。
ログデータの検索の詳細については、『*Amazon CloudWatch Logs ユーザーガイド*』の「[フィルターパターンを使用したログデータ検索](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html)」を参照してください。
# AWS Client VPN の接続ログを停止する
コンソールまたはコマンドラインを使用して、クライアント VPN エンドポイントの接続ログを無効にできます。接続ログを無効にしても、CloudWatch Logs の既存の接続ログは削除されません。
**コンソールを使用して接続ログを無効にするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. クライアント VPN エンドポイントを選択し、**[Action]** (アクション)、**[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) の順に選択します。
1. **[Connection logging]** (接続ログ) の **[Enable log details on client connections]** (クライアント接続の詳細なログを有効にする) をオフにします。
1. **[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) を選択します。
**AWS CLI を使用して接続ログを無効にするには**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用して、`--connection-log-options` パラメータを指定します。`Enabled` が `false` に設定されていることを確認します。
# AWS Client VPN エンドポイント設定ファイルのエクスポート
AWS Client VPN エンドポイント設定ファイルは、クライアント (ユーザー) がクライアント VPN エンドポイントとの VPN 接続を確立するために使用するファイルです。このファイルをダウンロード (エクスポート) し、VPN へのアクセスを必要とするすべてのクライアントに配布する必要があります。または、クライアント VPN エンドポイントのセルフサービスポータルを有効にした場合、クライアントはポータルにログインして、設定ファイルを自身でダウンロードできます。詳細については、「[セルフサービスポータルへの AWS Client VPN アクセス](cvpn-self-service-portal.md)」を参照してください。
クライアント VPN エンドポイントが相互認証を使用する場合は、ダウンロードする [.ovpn 設定ファイルにクライアント証明書とクライアントプライベートキーを追加](add-config-file-cert-key.md)する必要があります。お客様が情報を追加した後、クライアントは .ovpn ファイルを OpenVPN クライアントソフトウェアにインポートできます。
**重要**
クライアント証明書とクライアントプライベートキー情報をファイルに追加しない場合、相互認証を使用して認証するクライアントはクライアント VPN エンドポイントに接続できません。
デフォルトでは、OpenVPN クライアント設定の「remote-random-hostname」オプションは、ワイルドカード DNS を有効にします。ワイルドカード DNS が有効になっているため、クライアントはエンドポイントの IP アドレスをキャッシュしません。そのため、エンドポイントの DNS 名に ping を実行することはできません。
クライアント VPN エンドポイントが Active Directory 認証を使用しており、クライアント設定ファイルの配布後にディレクトリで Multi-Factor Authentication (MFA) を有効にした場合は、新しいファイルをダウンロードしてクライアントに再配布する必要があります。クライアントは、以前の設定ファイルを使用してクライアント VPN エンドポイントに接続することはできません。
**Topics**
+ [クライアント設定ファイルをエクスポートする](export-client-config-file.md)
+ [クライアント証明書と相互認証のキー情報を追加する](add-config-file-cert-key.md)
# AWS Client VPN クライアント設定ファイルのエクスポート
コンソールまたは AWS CLIを使用して、クライアント VPN クライアント設定をエクスポートできます。
**クライアント設定をエクスポートするには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. クライアント設定をダウンロードするクライアント VPN エンドポイントを選択し、[**クライアント設定のダウンロード**] を選択します。
**クライアント設定をエクスポートするには (AWS CLI)**
[export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) コマンドを使用し、出力ファイル名を指定します。
```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```
# 相互認証用の AWS Client VPN クライアント証明書とキー情報を追加する
クライアント VPN エンドポイントが相互認証を使用する場合は、ダウンロードする .ovpn 設定ファイルにクライアント証明書とクライアントプライベートキーを追加する必要があります。
相互認証を使用する場合は、クライアント証明書を変更できません。
**クライアント証明書とキー情報を追加するには (相互認証)**
次のオプションの 1 つを使用できます。
(オプション 1) クライアント証明書とキーを、クライアント VPN エンドポイント設定ファイルとともにクライアントに配布します。この場合、設定ファイルで証明書とキーへのパスを指定します。任意のテキストエディタを使用して設定ファイルを開き、以下をファイルの最後に追加します。*/path/* をクライアント証明書とキーの場所に置き換えます (この場所は、エンドポイントに接続しているクライアントから見た相対的な位置です)。
```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```
(オプション 2) ```` タグ間のクライアント証明書の内容と、```` タグ間のプライベートキーの内容を設定ファイルに追加します。このオプションを選択した場合、設定ファイルのみをクライアントに配布します。
クライアント VPN エンドポイントに接続するユーザーごとに個別のクライアント証明書とキーを生成した場合は、ユーザーごとにこのステップを繰り返します。
クライアント証明書とキーを含むクライアント VPN 設定ファイルの形式の例を次に示します。
```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3
Contents of CA
Contents of client certificate (.crt) file
Contents of private key (.key) file
reneg-sec 0
```
# AWS Client VPN ルート
各 AWS Client VPN エンドポイントには、使用可能な送信先ネットワークルートを記述するルートテーブルがあります。ルートテーブルのルートによって、ネットワークトラフィックの振り分け先が決まります。送信先ネットワークにどのクライアントがアクセスできるかを指定するため、各クライアント VPN エンドポイントルートに対して承認ルールを設定する必要があります。
VPC のサブネットをクライアント VPN エンドポイントに関連付けると、クライアント VPN エンドポイントのルートテーブルにその VPC 用のルートが自動的に追加されます。ピア接続 VPC、オンプレミスネットワーク、ローカルネットワーク (クライアントが相互に通信できるようにする場合)、インターネットなど、追加のネットワークへのアクセスを有効にするには、クライアント VPN エンドポイントのルートテーブルにルートを手動で追加する必要があります。
**注記**
クライアント VPN エンドポイントに複数のサブネットを関連付ける場合は、ここで説明するように、サブネットごとにルートを作成する必要があります [トラブルシューティング AWS Client VPN: ピア接続された VPC、Amazon S3、またはインターネットへのアクセスが断続的である](intermittent-access.md)。関連する各サブネットには、同一のルートセットが必要です。
## クライアント VPN エンドポイントでスプリットトンネルを使用する際の考慮事項
クライアント VPN エンドポイントで分割トンネルを使用する場合、VPN が確立されると、クライアント VPN ルートテーブル内のすべてのルートがクライアントルートテーブルに追加されます。VPN の確立後にルートを追加する場合は、新しいルートがクライアントに送信されるように接続をリセットする必要があります。
クライアント VPN エンドポイントルートテーブルを変更する前に、クライアントデバイスが処理できるルート数を考慮することをお勧めします。
**Topics**
+ [クライアント VPN エンドポイントでスプリットトンネルを使用する際の考慮事項](#split-tunnel-routes)
+ [エンドポイントルートの作成](cvpn-working-routes-create.md)
+ [エンドポイントルートの表示](cvpn-working-routes-view.md)
+ [エンドポイントルートの削除](cvpn-working-routes-delete.md)
# AWS Client VPN エンドポイントルートの作成
クライアント VPN エンドポイントルートを作成する際、送信先ネットワークへのトラフィックをどのように振り分けるかを指定します。
クライアントがインターネットにアクセスできるようにするには、送信先 `0.0.0.0/0` ルートを追加します。
コンソールと を使用して、クライアント VPN エンドポイントにルートを追加できますAWS CLI
**クライアント VPN エンドポイントルートを作成するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. ルートを追加するクライアント VPN エンドポイントを選択し、**[Route table]** (ルートテーブル)、**[Create route]** (ルートの作成) の順に選択します。
1. [**Route destination (ルートの送信先)**] で、送信先ネットワークの IPv4 CIDR 範囲を指定します。例:
+ クライアント VPN エンドポイントの VPC 用のルートを追加するには、VPC の IPv4 CIDR 範囲を入力します。
+ インターネット接続用のルートを追加するには、「`0.0.0.0/0`」を入力します。
+ ピア接続 VPC 用のルートを追加するには、ピア接続 VPC の IPv4 CIDR 範囲を入力します。
+ オンプレミスネットワーク用のルートを追加するには、AWS Site-to-Site VPN 接続の IPv4 CIDR 範囲を入力します。
1. [**[Subnet ID for target network association]** (ターゲットネットワーク関連付けのサブネット ID) で、クライアント VPN エンドポイントに関連付けられているサブネットを選択します。
または、ローカルクライアント VPN エンドポイントネットワークのルートを追加する場合は、`local` を選択します。
1. (オプション) **[Description]** (説明) に、ルートの簡単な説明を入力します。
1. [**ルートの作成**] を選択します。
**クライアント VPN エンドポイントルートを作成するには (AWS CLI)**
[create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html) コマンドを使用します。
# AWS Client VPN エンドポイントルートの表示
コンソールまたは を使用して、特定のクライアント VPN エンドポイントのルートを表示できますAWS CLI
**クライアント VPN エンドポイントルートを表示するには (コンソール)**
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. ルートを表示するクライアント VPN エンドポイントを選択し、**[Route table]** (ルートテーブル) を選択します。
**クライアント VPN エンドポイントルートを表示するには (AWS CLI)**
[describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html) コマンドを使用します。
# AWS Client VPN エンドポイントルートの削除
削除できるクライアント VPN ルートは、手動で追加したものに限られます。クライアント VPN エンドポイントにサブネットを関連付けた際に自動的に追加されたルートは、削除できません。自動的に追加されたルートを削除するには、その作成のきっかけとなったサブネットのクライアント VPN エンドポイントへの関連付けを解除する必要があります。
コンソールまたは を使用して、クライアント VPN エンドポイントからルートを削除できますAWS CLI
**クライアント VPN エンドポイントルートを削除するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. ルートを削除するクライアント VPN エンドポイントを選択し、**[Route table]** (ルートテーブル) を選択します。
1. 削除するルートを選択し、**[Delete route]** (ルートの削除)、**[Delete route]** (ルートを削除する) の順に選択します。
**クライアント VPN エンドポイントルートを削除するには (AWS CLI)**
[delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html) コマンドを使用します。
# AWS Client VPN ターゲットネットワーク
ターゲットネットワークは、VPC のサブネットです。クライアントがクライアント VPN エンドポイントに接続し、VPN 接続を確立するためには、AWS Client VPN エンドポイントに少なくとも 1 つのターゲットネットワークが必要です。
設定できるアクセスの種類 (クライアントからインターネットへのアクセスなど) の詳細については、「[クライアント VPN のシナリオと例](how-it-works.md#scenario)」を参照してください。
## クライアント VPN ターゲットネットワークの要件
ターゲットネットワークを作成する場合、次のルールが適用されます。
+ サブネットには、少なくとも /27 ビットマスク (10.0.0.0/27 など) を持つ CIDR ブロックが必要です。サブネットには、常に最低 20 個の利用可能な IP アドレスも必要です。
+ サブネットの CIDR ブロックは、クライアント VPN エンドポイントのクライアント CIDR 範囲と重複できません。
+ 複数のサブネットをクライアント VPN エンドポイントに関連付ける場合、各サブネットは異なるアベイラビリティーゾーンに存在する必要があります。アベイラビリティーゾーンの冗長性を提供するために、少なくとも 2 つのサブネットを関連付けることをお勧めします。
+ クライアント VPN エンドポイントの作成時に VPC を指定した場合、サブネットは同じ VPC 内にある必要があります。VPC をクライアント VPN エンドポイントにまだ関連付けていない場合、任意の VPC 内のサブネットを選択できます。
それ以降のすべてのサブネットの関連付けは、同じ VPC から行う必要があります。別の VPC からのサブネットを関連付けるには、まずクライアント VPN エンドポイントを変更し、それに関連付けられている VPC を変更する必要があります。詳細については、「[AWS Client VPN エンドポイントを変更する](cvpn-working-endpoint-modify.md)」を参照してください。
サブネットをクライアント VPN エンドポイントに関連付けると、そのサブネットがプロビジョニングされたところの VPC のローカルルートが自動的にクライアント VPN エンドポイントのルートテーブルに追加されます。
**注記**
ターゲットネットワークが関連付けられた後に、アタッチされた VPC に CIDR をさらに追加したり、削除したりする場合は、次のいずれかの操作を実行して、クライアント VPN エンドポイントルートテーブルのローカルルートを更新する必要があります。
クライアント VPN エンドポイントの関連付けをターゲットネットワークから解除してから、クライアント VPN エンドポイントをターゲットネットワークに関連付けます。
クライアント VPN エンドポイントルートテーブルにルートを手動で追加するか、クライアント VPN エンドポイントルートテーブルからルートを削除します。
最初のサブネットをクライアント VPN エンドポイントに関連付けると、クライアント VPN エンドポイントのステータスが `pending-associate` から `available` に変わり、クライアントが VPN 接続を確立できるようになります。
**Topics**
+ [ターゲットネットワークを作成するための要件](#cvpn-create-target-reqs)
+ [ターゲットネットワークをエンドポイントに関連付ける](cvpn-working-target-associate.md)
+ [セキュリティグループをターゲットネットワークに適用する](cvpn-working-target-apply.md)
+ [ターゲットネットワークの表示](cvpn-working-target-view.md)
+ [ターゲットネットワークとエンドポイントの関連付けを解除する](cvpn-working-target-disassociate.md)
# ターゲットネットワークを AWS Client VPN エンドポイントに関連付ける
Amazon VPC コンソールまたは CLI を使用して、1 つ以上のターゲットネットワーク (サブネット) をクライアント VPN AWS エンドポイントに関連付けることができます。ターゲットネットワークをクライアント VPN エンドポイントに関連付ける前に、要件に精通してください。「[ターゲットネットワークを作成するための要件](cvpn-working-target.md#cvpn-create-target-reqs)」を参照してください。
**ターゲットネットワークをクライアント VPN エンドポイントに関連付けるには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. ターゲットネットワークを関連付けるクライアント VPN エンドポイントを選択し、**[Target network associations]** (ターゲットネットワーク関連付け) を選択し、**[Associate target network]** (ターゲットネットワークを関連付ける) を選択します。
1. **[VPC]** で、サブネットがある VPC を選択します。クライアント VPN エンドポイントの作成時に VPC を指定した場合、または以前のサブネットの関連付けがある場合は、同じ VPC である必要があります。
1. **[Choose a subnet to associate]** (関連付けるサブネットを選択する) で、クライアント VPN エンドポイントに関連付けるサブネットを選択します。
1. **[Associate target network]** (ターゲットネットワークを関連付ける) を選択します。
**ターゲットネットワークをクライアント VPN エンドポイントに関連付けるには (AWS CLI)**
[associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) コマンドを使用します。
# でターゲットネットワークにセキュリティグループを適用する AWS Client VPN
クライアント VPN エンドポイントを作成するときに、ターゲットネットワークに適用するセキュリティグループを指定できます。1 つ目のターゲットネットワークをクライアント VPN エンドポイントに関連付けると、関連付けられたサブネットが位置している VPC のデフォルトのセキュリティグループが自動的に適用されます。詳細については、「[セキュリティグループ](client-authorization.md#security-groups)」を参照してください。
クライアント VPN エンドポイントのセキュリティグループを変更できます。必要なセキュリティグループルールは、設定する VPN アクセスの種類によって異なります。詳細については、「[クライアント VPN のシナリオと例](how-it-works.md#scenario)」を参照してください。
**ターゲットネットワークにセキュリティグループを適用するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. セキュリティグループを適用するクライアント VPN エンドポイントを選択します。
1. **[Security Groups]** (セキュリティグループ) を選択して、**[Apply Security Groups]** (セキュリティグループの適用) を選択します。
1. **[Security group IDs]** (セキュリティグループ ID) から適切なセキュリティグループを選択します。
1. **[Assign Security Groups]** (セキュリティグループの適用) を選択します。
**ターゲットネットワークにセキュリティグループを適用するには (AWS CLI)**
[apply-security-groups-to-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html) コマンドを使用します。
# AWS Client VPN ターゲットネットワークの表示
クライアント VPN エンドポイントに関連付けられたターゲットを表示するには、コンソールまたは を使用しますAWS CLI
**ターゲットネットワークを表示するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。
1. 適切なクライアント VPN エンドポイントを選択し、**[Target network associations]** (ターゲットネットワーク関連付け) を選択します。
**を使用してターゲットネットワークを表示するにはAWS CLI**
[describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) コマンドを使用します。
# AWS Client VPN エンドポイントからターゲットネットワークの関連付けを解除する
ターゲットネットワークの関連付けを解除すると、クライアント VPN エンドポイントのルートテーブルに手動で追加されたすべてのルートと、ターゲットネットワークの関連付けが行われたときに自動的に作成されたルート (VPC のローカルルート) が削除されます。すべてのターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除すると、クライアントは VPN 接続を確立できなくなります。
**ターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除するには (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. ターゲットネットワークが関連付けられているクライアント VPN エンドポイントを選択し、**[Target network associations]** (ターゲットネットワーク関連付け) を選択します。
1. 関連付けを解除するターゲットネットワークを選択し、**[Disassociate]** (関連付け解除)、**[Disassociate target network]** (ターゲットネットワークの関連付け解除) の順に選択します。
**ターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除するには (AWS CLI)**
[disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) コマンドを使用します。
# AWS Client VPN VPN セッションの最大期間タイムアウト
AWS Client VPN には、クライアント VPN エンドポイントへのクライアント接続に許可される最大時間である VPN セッションの最大期間に関するいくつかのオプションが用意されています。セキュリティおよびコンプライアンス要件を満たすために、VPN 最大セッション時間を短く設定することができます。デフォルトでは、VPN 最大セッション時間は 24 時間です。最大セッション時間を設定すると、そのタイムアウトに達したときにそのセッションがどうなるかを制御できます。[セッションタイムアウト時に接続を解除] オプションを使用すると、セッションを終了したり、エンドポイントへの再接続を自動的に試行したりできます。VPN 最大セッション時間を強制することでセッションを終了すると、エンドポイントのセキュリティをより細かく制御できます。最大時間に達したときにセッションが終了するように設定されている場合、ユーザーは VPN 接続を再確立するため、再接続と認証情報の指定を行う必要があります。
[セッションタイムアウト時に接続を解除] で、セッションが自動的に再接続されるように設定された状態で、最大セッション時間に達すると、
+ キャッシュされたユーザー認証情報 (Active Directory) または証明書ベースの認証 (相互認証) の場合、新しいセッションが自動的に確立されます。完全に切断して自動的に再接続しない場合は、ユーザーが手動で切断する必要があります。
+ フェデレーション認証 (SAML) の場合、新しいセッションは自動的に確立されません。ユーザーは、セッションタイムアウトの有効期限が切れた後に再度認証して、VPN 接続を再確立する必要があります。
**注記**
VPN 最大セッション時間を現在の値から減らすと、新しく設定した時間よりも長い時間枠でエンドポイントに接続されているアクティブな VPN セッションは切断されます。
セッションタイムアウト時の切断オプションを変更すると、現在開いているセッションに新しい設定が適用されます。
## AWS Client VPN エンドポイントの作成時に最大 VPN セッションを設定する
VPN セッションの継続時間は、クライアント VPN エンドポイントの作成中に設定されます。クライアント VPN エンドポイントを作成し、最大セッション継続時間を設定する手順については、「[AWS Client VPNエンドポイントを作成する](cvpn-working-endpoint-create.md)」を参照してください。
**Topics**
+ [エンドポイント作成時の最大 VPN セッションを設定する](#configure-max-duration-endpoint-creation)
+ [における現在の VPN セッションの最大継続時間を表示](display-max-duration.md)
+ [VPN の最大セッション時間を変更する](modify-max-timeout.md)
# AWS Client VPN 現在の VPN セッションの最大継続時間を表示する
クライアント VPN における、現在の VPN セッションの最大継続期間を表示するには、以下のステップを実行します。
**Client VPN エンドポイントの現在の VPN セッション最大継続期間を表示する (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 表示する Client VPN エンドポイントを選択します。
1. **[詳細]** タブが選択されていることを確認します。
1. **[セッションタイムアウト時間]** の横にある現在の VPN セッションの最大継続時間を表示し、**[タイムアウト時の切断]** が有効か無効かを確認します。
**クライアント VPN エンドポイントの現在の VPN セッション最大継続時間を表示する (AWS CLI)**
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) コマンドを使用します。
# 最大 AWS Client VPN セッション期間とタイムアウト動作を変更する
既存のクライアント VPN における VPN の最大セッション時間や、[セッションタイムアウト時に接続を解除] の動作を変更するには、次の手順に従います。
**Client VPN エンドポイントの既存の VPN セッションの最大継続時間を変更する (コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。
1. 変更するクライアント VPN エンドポイントを選択し、**[アクション]**、**[クライアント VPN エンドポイントの変更]** の順に選択します。
1. **[セッションタイムアウト時間]** を使用する場合、VPN セッションの最大継続時間を時間単位で選択します。
1. **[セッションタイムアウト時の切断]** で、最大セッションタイムアウトに達したときにセッションを切断するかどうかを選択します。デフォルトでは、これはエンドポイントを初めて変更するときにオフになります。
1. **[クライアント VPN エンドポイントの変更]** を選択します。
**Client VPN エンドポイントの既存の VPN セッションの最大継続期間を変更する (AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。